網絡安全應急響應體系研究

◆李若愚 賈 蕊

?

網絡安全應急響應體系研究

◆李若愚 賈 蕊

（中國互聯網絡信息中心 北京 100190）

合理建立網絡安全應急響應體系，利用有限的投入最大程度地降低網絡安全突發事件的負面影響，是當前一個迫切需要解決的問題。本文闡述了國內外網絡安全應急響應的基本情況，以國家和北京市為例介紹了網絡安全應急響應的組織形式，提出了面向政府和企業的網絡安全應急響應體系模型。

網絡安全；網絡安全事件；應急響應；應急響應體系

0 引言

新形勢下，我國網絡安全應急工作受到高度重視，《網絡安全法》從立法高度明確網絡安全應急工作機制，重要行業和地區均制訂了較為完善的應急預案和應急響應體系，明確了應急組織架構及職責、預警機制、處置流程等，能夠在發生網絡安全事件時進行有效應急響應。本文介紹了國內外網絡安全應急體系建設情況，以國家和北京市為例分別介紹了網絡安全應急響應的組織形式，并分別針對政務單位和一般企業的特點，提出了相對簡化版的網絡安全應急響應體系模型，旨在高效利用單位內部有限資源、配置落實專人職責、迅速取得外界援助，快速協調響應，遏制危害網絡安全事件的發生。

1 我國網絡安全應急響應基本情況

2014年2月，中央網絡安全和信息化領導小組成立，中央網信辦為其辦事機構。隨后，各省、自治區、直轄市成立了省網絡安全和信息化領導小組和省網信辦，小組組長均由省(自治區)市委書記擔任、網信辦主任多由省(自治區)市委宣傳部副部長兼任，形成了網絡安全和信息化全國統一謀劃、統一部署、統一推進、統一實施的組織架構。《國家網絡安全事件應急預案》指出，中央網信辦統籌協調組織國家網絡安全事件應對工作，建立健全跨部門聯動處置機制，工信部、公安部、國家保密局等部門按照職責分工負責相關領域網絡安全事件應對工作，國家網絡安全應急辦公室設在中央網信辦，由網絡安全協調局承擔具體工作。

目前，我國在國家層面、重要行業和地區均建立了明確的網絡安全應急工作機制以及相關的制度，應急管理組織架構較為明確、權責清晰，制定了切實可行的處置流程，并指導下屬單位或部門編制了一系列總、分、專等多層次應急預案，實現了突發事件應急處置規范化[1]。地方政府通常依托地方網信辦、經信委等機構負責本地區網絡安全應急體系建設，結合公共安全應急工作，建立了相對完備的應急機制；有些行業和單位充分利用國家網絡安全機構技術力量，建立了多方合作、情報共享和事件通報機制，實現了信息情報的及時有效溝通，為網絡安全應急響應提供充足的預警、決策、反應時間；部分中小企業則依靠外部廠商開展網絡安全應急響應工作。

2 國外網絡安全應急響應基本情況

2.1 美國應急管理情況

美國在應急管理方面的研究起步比較早，特別是“9·11”事件后，美國對危機管理和突發事件應急救援方面更加重視，各種應急演練活動頻繁展開，形成了比較健全的應急響應體系。

1979年成立的“美國聯邦應急管理署(FEMA)”是美國專門的應急管理機構，公共安全事件和網絡安全事件的應急管理都在FEMA的管理范疇內，于2003年并入國土安全部(DHS)。《美國應急準備指引》(National Preparedness Guidelines，“NPG”)和《美國應急響應計劃》(National Response Plan，“NRP”),是美國應急體系的主要政策文件和應急工作總體框架，為應急響應提供戰略性指引。

2.2 歐盟應急管理情況

歐盟目前共有28個成員國，其應急管理的突出特點是很多跨地域突發事件的處置需要多個成員國共同參與，協同應對。2004年3月，歐盟成立了“歐洲信息安全局（ENISA）”。除ENISA外，歐盟各成員國均有各自的網絡安全管理機構，它們主要負責制定國家戰略政策，還在歐盟一級代表各自的國家。2009年3月，歐盟委員會公布了新的《重大信息基礎設施保護戰略》，同年4月，ENISA發布了《通信網絡彈性：成員國政策和法規及政策建議》報告，明確要求各成員國必須建立一支全國性的計算機應急小組[2]。

3 我國網絡安全應急響應組織形式

我國2005年出臺《國家突發公共事件總體應急預案》，構建了我國應急體系和預案體系基本架構。《網絡安全法》規范了“監測預警與應急處置”，對關鍵信息基礎設施保護部門網絡安全監測預警和信息通報制度建立、風險評估和應急工作機制健全、數據保護與信息利用、運營監管與處罰等都作出了明確規定。《國家網絡安全事件應急預案》明確了領導機構、辦事機構、國家各部門、各省（市、區）部門在網絡安全事件應急響應過程中的工作職責，建立了跨部門聯動應急處置體系。

3.1 國家網絡安全應急響應體系

我國2002年成立了“國家計算機網絡應急技術處理協調中心”，簡稱國家互聯網應急中心（CNCERT），它是我國國家級的計算機安全事件應急組織。2003年，CNCERT在全國31個省成立分中心，實現了互聯網的信息共享、技術協調，同時完成了我國互聯網安全技術支撐體系跨網、跨系統、跨地域的建設階段[3]。

國家網絡安全應急響應體系是由國家網絡安全主管部門、CNCERT、國家級網絡安全技術隊伍等組織構成。這里只討論公共互聯網應急響應體系，在該體系中CNCERT負責協調國家各行業相關主管部門及各計算機網絡安全事件應急小組共同處理網絡安全緊急事件，為國家重要信息系統、公共互聯網以及關鍵部門提供監測預警、應急處置等安全服務和技術支持，及時收集、核實、匯總、發布有關互聯網安全的權威性信息，組織國內網絡安全應急響應單位進行國際合作和交流。

3.2 北京市網絡安全應急響應體系

在北京市應急響應體系中，按照工作中所承擔職責的不同，網絡安全應急機構包括應急管理的組織指揮機構、專項應急指揮機構、地方機構、日常辦事機構、工作機構、支撐機構及專家組織等[4]。

圖1 國家網絡安全應急響應體系

圖2 北京市網絡安全應急響應體系

2005年4月，北京市成立了突發公共事件應急委員會，其辦事機構設在政府辦公廳，加掛北京市應急指揮中心和市政府總值班室的牌子，統籌協調全市公共突發事件應急管理工作。目前市應急辦下設19個專項指揮部，其中“通信保障和信息安全應急指揮部”承擔北京市網絡與信息安全事件應對和應急通信保障工作的規劃、組織、協調、指導和檢查職責。通信保障和信息安全應急指揮部統籌協調市經信委、公安、新聞出版廣電局、保密局，依托其各自的技術支撐單位開展政府、社會、廣電、保密等各行業領域的網絡安全應急工作。2018年11月，北京市應急管理局正式掛牌成立，突發公共事件應急委員會辦公室職責已劃入應急管理局，但大部分專項指揮部還沿用原有管理體系，具體細節目前還未公開。

4 針對政府和企業的網絡安全應急響應體系模型

自2008年以來，一些機構和行業陸續建立了網絡安全應急管理機制，但總體來說較為零散，針對性和規范性不強，需要進一步完善以“點”、“線”為主的預案體系和應急機制，加強“面”上的應急體系建設，落實“一案三制”要求，建立全面完善的網絡安全應急響應體系。

在實際工作中政務單位和企業會碰到諸多難題，如網絡安全事件人員組織和調配困難、專業技術人員和應急裝備管理混亂、網絡故障原因復雜、攻擊手段難以取證等。本節提出了兩個相對簡化的應急響應模型供政府和企業參考，各政務單位和企業需根據自身業務的特點和性質，盡早建立響應迅速保障有力的網絡安全應急響應體系，防患于未然。

4.1 政務單位網絡安全應急響應組織體系模型

政府作為協調主體的響應對象并不是應對政府辦公內網的網絡安全事故，而是針對普遍影響廣大網民、關鍵信息基礎設施防護甚至國家安全的重大事件，如電信基礎設施遭攻擊、省骨干網癱瘓、關鍵信息基礎設施服務中斷等，可能涉及到各地區多部門之間的組織協調與資源調度。因此，政務單位的應急響應體系模型，不必區分內部與外部，需要相關機構、涉事互聯網企業、供應商、電信運營商、專業安全廠商和政府下屬機構齊心協力，形成有機整體，共同完成響應任務。

網絡安全應急響應領導小組（簡稱“領導小組”）對應急響應工作進行統一指揮，對安全事件作出決策，組長由本單位內主管信息化工作的最高領導擔任。網絡安全應急響應辦公室（簡稱“應急辦”）是應急響應體系的核心，一方面協調應急體系的正常運行，維護信息分析共享平臺，處理日常事務性工作，另一方面管理協調各個應急響應組。需要通報的機構有網信、公安、工信部門，甚至金融監管、國際貿易、國家安全等部門，也可能是其他業務關聯部門，如工商、稅務。需要強調的是，應急辦是應急響應的關鍵組織保障，其負責人在熟悉信息化業務的同時還需具備一定的指揮協調能力和足夠的權力，才能調動內部部門、主營業務領域的協同力量，通常應急辦負責人由信息中心主任或副主任兼任。此外，應急辦根據需要下設省或市縣級分支機構，并對這些分支機構部門統一協調。

在單位內部需設立技術專家組、顧問專家組、公共輿論組。技術專家組指導技術支撐人員采取有效措施，及時遏制、診斷原因、迅速處置；顧問專家組提供總體或專項策略支持；公共輿論組負責對外的消息發布，由于政府機構通常設置新聞發言人，“公共輿論組”可同時兼任新聞發布職能，統一口徑對外發布應急處置消息。

圖3 政務單位網絡安全應急響應體系模型

4.2 企業網絡安全應急響應組織體系模型

企業作為協調主體的響應對象通常是針對企業內部的網絡安全事件，需要企業及時響應、自主應對，降低對企業自身的影響或沖擊。大部分的中小型企業自身的網絡安全應急響應技術實力還是不夠的，需借助安全服務商、供應商的協助支持來應對安全事件或網絡攻擊。

圖4 企業網絡安全應急響應體系模型

企業內部的技術專家組對應急響應的流程運轉有重要支撐作用，在具體決策上也發揮參謀作用，需要與企業內部IT技術支撐部門保持密切配合，顧問專家組則主要提供法務咨詢。在對外發布應急處置消息時，既要兼顧企業公共關系，同時也要維護客戶/用戶的信心——品牌信譽，因此，新聞發布職能可由“市場公關組”負責。外部協調上，業務關聯方、供應商是重點協調對象。通常來說，安全服務廠商也是供應商的一種，近年來受到各方重視，因此在模型中單獨列出。由于各類外部支持人員對企業內部的網絡環境和系統拓撲結構并不熟悉，需要企業IT技術支撐部門提供相關信息。需要注意的是，除非有特別重大原因，企業內網安全事件不必向政府主管部門通報，若需要追究網絡攻擊犯罪嫌疑人，則需通報、協助公安機關抓捕犯罪分子。

5 結語與展望

本文主要介紹了國內外網絡安全應急響應基本情況，以國家和北京市為例介紹了網絡安全應急響應組織形式，并針對政府和企業的特點提出了兩種簡化版的應急響體系模型。網絡安全應急響應，歸根到底是依靠卓越的指揮協調能力、溝通領導能力以及專業的技術支撐團隊，由于各機構自身特點和技術能力千差萬別，其應急響應體系不可能千篇一律，只有充分結合自身業務特點、發揮技術能力優勢、高效組織各部門聯動響應，才能在發生網絡安全突發事件后妥善處置、有序響應，確保人員到位、技術到位、援助到位，從而降低事故帶來的損失和負面影響。

[1]錢秀檳，趙章界.加強應急工作 強化新形勢下的網絡安全保障[J].人民日報網，2017.

[2]谷安安全牛.網絡安全應急管理體系現狀與建議.https://www.aqniu.com/industry/28758.html.

[3]周勇林.計算機應急響應與我國互聯網應急處理體系.電信世界，2004.

[4]錢秀檳，毛作奎.政府網絡與信息安全事件應急工作指南.中國標準出版社，2012.